사이버 리스크와 부상하는 사이버 보험

최근 사이버 리스크에 대한 대응 방법으로 사이버 보험 시장이 빠르게 성장하고 있습니다. 단순히 정보유출에 대한 배상 책임만을 제공하는 것이 아닌 기업 경영의 관점에서 발생할 수 있는 사이버 리스크에 대한 포괄적인 대응을 제공하기 때문이라고 생각됩니다. 사이버 보험의 배경과 시장 동향에 대하여 이야기하고자 합니다.

 

사이버 리스크와 사이버 보험

Big Data, IoT, Mobile, Biometric, AI 등 IT 기술이 빠르게 발전하면서 기업의 비즈니스 환경 역시 빠르게 변화하고 있습니다. 특히, 모든 것이 연결되는 디지털 시대의 도래는 기업과 개인의 데이터 활용 증대로 이어지면서 보호해야 하는 대상과 수준이 확대되는 등 기업 비즈니스 환경에 큰 영향을 미치고 있습니다. 비즈니스 환경 변화에 따른 불확실성이 사이버 리스크 증대로 이어지고 있는 것이죠. 여기서 사이버 리스크(Cyber Risk)란 불확실성 증대에 영향을 미치는 사이버 이슈(고도화되는 사이버 위협 및 IT 컴플라이언스의 페널티 증대 등)로 발생 가능한 유무형의 손실을 의미합니다. 특정 타겟을 대상으로 하는 지능형지속위협(APT)부터 전세계 최대 보안 위협으로 부상한 랜섬웨어 등의 보안 위협은 지금 이 순간에도 공격이 진행되고 있습니다. 또한 개인정보에 대한 이슈로 강화되고 있는 개인정보보호를 위한 페널티 강화는 기업의 부담을 증대시키는 주요 원인이기도 합니다.

사이버 보험은 위와 같은 사이버 위협 및 IT 컴플라이언스 위반에 따른 페널티와 같은 사이버 리스크로 발생하는 피해에 대한 복구 및 방어 비용, 정보훼손에 따른 손해배상금 등 종합적인 보장을 제공하는 보험으로 현재 미국을 중심으로 확대되고 있으며, 최근 국내에서도 사이버 보험 시장이 시작되고 있습니다. 사이버 보험이 보장하는 범위에는 어떤 것들이 포함될까요? 사이버 보험은 1. 데이터 유출에 따른 보상 지원 2. 대내외 공표(언론, 콜센터 등) 3. 테러 대응(협상, 지불 등) 4. 데이터 손실에 따른 복구 지원 5. 비즈니스 중단에 따른 손실 보장 6. 피해수준 조사 7. 포렌식 8. 사이버폭력 9. 송금사기 10. 민사소송 대응 등 다양한 사이버 리스크에 폭넓은 보장을 제공합니다. 단순히 정보유출에 따른 비용뿐만 아니라 기업의 브랜드 이미지 복구를 위한 대외 커뮤니케이션, 보안 사고에 대한 후속조사 및 조치 등 기업 비즈니스 존속에 영향을 미치는 모든 사이버 리스크에 대응한다고 할 수 있습니다. 특이점은 기업뿐만 아니라 사이버폭력과 같은 개인에 대한 사이버 침해를 보장하는 보험도 있다는 것입니다. 이는 사이버 리스크가 기업만을 대상으로 하는 것이 아니라 개인에 대한 침해도 포함하고 있다는 것을 보여줍니다.

사이버 보험 시장의 규모와 주요 이슈에는 어떤 것들이 있을까요?

 

zoom in 3호

 

사이버 보험 시장 동향

Allied Market Research에 따르면 전세계 사이버 보험 시장은 2020년 약 140억 달러의 규모로 연평균 28% 높은 성장을 보일 것으로 기대되고 있습니다. 사회적, 국가적 피해를 초래하는 사이버 공격(우크라이나 전력망 마비)과 개인정보 유출에 따른 기업 브랜드 손실의 증가(링크드인, 소니픽처스) 그리고 시행 예정인 GDPR(General Data Protection Regulation)과 같은 컴플라이언스 등이 사이버 보험 시장의 성장을 견인하고 있는 상황입니다. 특히, 이전까지 미국을 중심으로 성장했다면 이제 다양한 국가에서 사이버 보험에 대한 수요가 증가할 것으로 예측되고 있습니다. 유럽의 경우 GDPR 시행에 따른 페널티 가중으로 사이버 보험에 대한 수요 증가가 예상되며, 아시아 태평양 지역은 취약한 보안 수준으로 사이버 공격의 주요 대상으로 부상하면서 책임에 대한 니즈가 증가하고 있기 때문입니다.

그러나 사이버 보험 시장의 성장을 저해하는 요인들도 존재합니다. Threat SKETCH가 발표한 사이버 보험 시장 백서에 따르면 사이버 보험 시장의 성장을 위해 해결해야 하는 과제로 첫 번째, 보험사가 사이버 보험에 적절한 가격을 책정할 수 있는 신뢰할 수 있는 데이터 모델의 부재를 언급했습니다. 실제로 시만텍이 발표한 리포트에 따르면 많은 기업들이 개인정보 유출 사고를 공개하지 않고 있는 것으로 나타났습니다. 결국 사이버 보험을 개발하기 위해 참고할 수 있는 데이터 부족으로 이어진 것이죠. 보안 사고는 동일한 개인정보 유출 사고라도 침해방식, 기업의 보안 수준, 유출의 범위 등에 따라 다양한 형태로 분류되어야 하는데, 이를 분류하기 위한 기준 자체 수립이 어려운 것이 현실이라고 할 수 있습니다. 그리고 두 번째는 보험 대리인과 고객들이 사이버 보험에 대한 이해도 부족을 뽑았습니다. 사이버 보안의 폐쇄적인 문화 및  기술, 낮은 디지털 자산의 가시성, 전문 인력의 무재 등은 사이버 보험 시장의 참여자들의 이해도를 낮추는 주요 원인이라고 할 수 있습니다. 이를 해결하기 위해서는 학습이 필요합니다. 보험 대리인은 사이버 위협과 컴플라이언스 등의 사이버 리스크에 대하여 지속적으로 학습해야 합니다. 산업 그리고 기업의 특성에 따라 사이버 위협도 해당하는 컴플라이언스도 상이하기 때문에 전반적인 학습과 개별 기업 환경에 맞는 학습이 구분되어야 하는 것이죠. 고객 역시 사이버 리스크가 기업의 비즈니스 지속에 있어 심각한 피해를 입힐 수 있는 요인으로 바라보고 접근할 필요가 있습니다. 결국 사이버 보험 시장이 더욱 성장하기 위해서는 사이버 리스크에 대한 이해와 보안 사고에 대응하는 문화가 바뀌는 것이 우선되어야 하는 것이죠.

20170816-01

 

사이버 보험 시장의 성장은 사이버 위협의 글로벌화, 컴플라이언스 강화 등의 거대한 흐름에 힙입어 확대될 것으로 보입니다. 그러나, 사이버 보험의 수준이 향상되기 위해서는 위의 저해 요인들에 대한 해결이 무엇보다 중요하다고 할 수 있습니다.

사이버 보험에 대한 의견

Financial Times에 따르면 전세계를 대상으로 한 워너크라이(WannaCry) 랜섬웨어 공격으로 사이버 보험에 대한 수요가 증가할 것으로 예측되고 있습니다. 실질적인 피해는 크지 않았지만, 예측할 수 없었던 치명적인 공격으로 사이버 보험에 대한 필요성 역시 강조되었기 때문입니다. 이처럼 치명적인 피해를 입힐 수 있는 공격들이 확대되면서 기업 및 기관은 불확실성에 대한 대응으로 사이버 보험에 가입하고 있는 추세입니다. 지금까지 사이버 보험이 미국을 중심으로 성장하였다면 이제 더 많은 국가에서 사이버 보험 시장이 본격화되면서 전세계 사이버 보험 시장의 성장을 견인할 것으로 보고 있습니다.

 

20170816-02

 

반면 국내의 경우 사이버 보험 시장이 성장하기 위해서는 기업의 사이버 리스크에 대한 투명성이 우선되어야 합니다. 여전히 많은 기업들이 보안 사고를 인지하지 못 하거나 숨기는 등 사이버 리스크를 방치하고 있기 때문입니다. 결국 사이버 리스크에 대한 투명성이란 기업이 자신들을 위협하는 사이버 리스크를 명확하게 인식하고 이에 대한 관리 방안을 수립하는 것을 의미한다고 할 수 있습니다.

다시 말해서 국내 사이버 보험 시장이 성장하기 위해서는 무엇보다 기업의 참여가 필요한 것이죠.


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd

목록